March 5
Open-source strumenti di computer forensics sono spesso preferiti rispetto alle alternative commerciali, perché i loro metodi sono meglio documentate ed i risultati più facilmente duplicati. Questo è perché i programmi open source forniscono agli utenti l'accesso ai commenti del codice sorgente e programmatore originali. Quando computer forensics prova viene usato in tribunale, è meglio se gli strumenti utilizzati nella sua scoperta possono essere esaminati e spiegati alla corte. alternative closed-source non forniscono questa capacità proprio perché il loro codice sorgente è di proprietà privata delle imprese commerciali che sta vendendo il software.
Piuttosto che contiene un singolo programma, Forensic Acquisition Utilities è un insieme di strumenti di computer forensics che sono stati in bundle da George Garner. Questi programmi possono aiutare l'esaminatore forense in raccolta delle prove da un sistema di computer Windows in esecuzione. Il pacchetto include strumenti per pulire il supporto di memorizzazione per la duplicazione forense, localizzare e identificare i volumi logici, e garantire l'integrità dei dati con un checksum crittografico. Anche se non ridurre al minimo le modifiche al set di dati originale, questo pacchetto non impedisce tutte le modifiche.
TestDisk è un facile da usare, potente ed open-source del programma,, il recupero dei dati. E 'utilizzato per recuperare i dati che si perde a causa di software difettoso, alcuni virus, e l'intervento umano sia intenzionale o accidentale. Utilizzando TestDisk, un esaminatore computer forensics può recuperare i dati da una qualsiasi delle partizioni del disco più comuni. Queste partizioni possono essere stati danneggiati o eliminati da un programma difettoso o virus. Un'altra possibilità è che le partizioni possono essere stati cancellati dal computer dell'utente, accidentalmente o intenzionalmente per nascondere le prove.
Utilizzando TestDisk sarà recuperare i dati persi, e l'acquisizione forense utilità in grado di copiare i dati su un altro disco, ma il computer forensics esaminatore dovrà LiveView per accedere e analizzare le prove. LiveView permette l'esaminatore per convertire l'immagine del disco grezza in un formato che può essere utilizzato da una macchina virtuale VMware. Il computer forensics esaminatore può quindi "avviare" l'immagine come se fosse seduto proprio alla tastiera del computer è stato preso da. Una volta fatto questo, egli sarà in grado di guardare intorno al sistema e cercare i file di cui ha bisogno per costruire il suo caso.